SOC (Security Operations Center, центр мониторинга и реагирования на инциденты информационной безопасности) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки.

SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – решение для обнаружения, анализа и устранения угроз безопасности. SIEM собирает и упорядочивает данные из различных источников, анализирует их и удаляет нерелевантную информацию.

SIEM является неотъемлемой частью SOC. С помощью SIEM специалисты SOC получают информацию, необходимую для детектирования и управления событиями, связанными с информационной безопасностью.

Основные функции SOC:

• Постоянный мониторинг ИТ-инфраструктуры, сбор и обработка данных в реальном времени. Специалисты SOC собирают информацию в режиме 24/7/365 со всех систем (конечные точки сети, сетевые устройства и т.д.) для максимально оперативного обнаружения возможных атак. Для этого используются SIEM-решения.
• Анализ и оценка событий. Операторы SOC собирают и анализируют данные на степень опасности и характер угрозы.
• Реагированиe на инциденты и восстановление. При обнаружении инцидента принимаются меры по его устранению, а также по устранению возможных последствий от атаки, например, если были повреждены какие-то системы.
• Расследование. Процесс состоит из поиска причин инцидента и выявления слабых мест в ИТ-инфраструктуре. Это необходимо делать для того, чтобы предотвратить подобные случаи в будущем.
• Обеспечение работоспособности инструментов SOC. Включает в себя поддержку работы граничных систем сетевой безопасности и инфраструктуры SOC, создание собственных правил и сигнатур, а также подбор и внедрение решений, использующихся в работе SOC.

Стоимость SOC зависит от:

• лицензии SIEM, цена которой определяется количеством поступающих событий в секунду (EPS);
• масштаба инфраструктуры – чем масштабнее и разнообразнее инфраструктура организации, в рамках которой требуется выявлять инциденты безопасности, тем выше стоимость лицензии SIEM и больше объем выполняемых работ;
• объема работ по внедрению SOC, который зависит от масштаба инфраструктуры, желаемого функционала SOC и количества подключаемых источников;
• размера команды SOC и объема технической поддержки.

Для того чтобы иметь представление об итоговой стоимости SOC, нужно:

• определить желаемый функционал SOC;
• выбрать модель построения SOC;
• определить состав команды SOC и квалификацию специалистов;
• выбрать подходящие технические решения

EPS (Events Per Second, «событие в секунду») в контексте Security Operations Center (SOC) — это показатель, который указывает на количество событий, обрабатываемых системой безопасности в секунду. Эти события включают журналы активности, предупреждения о безопасности, данные мониторинга сетевого трафика и другие типы событий, которые система безопасности собирает и анализирует.

В SOC EPS важен по следующим причинам:

• EPS определяет, сколько событий система может обработать в реальном времени без задержек – чем выше EPS, тем выше способность системы справляться с большим объемом данных;
• EPS используется для оценки масштабируемости системы и её способности поддерживать рост организации и увеличение объема обрабатываемых данных;
• знание EPS помогает правильно распределять вычислительные ресурсы, такие как серверы и хранилища, для обеспечения бесперебойной работы системы безопасности;
• высокий EPS способствует более быстрому и эффективному обнаружению и реагированию на угрозы, минимизируя время реагирования;
• мониторинг EPS помогает выявлять узкие места и оптимизировать процесс обработки событий.

SOAR (Security Orchestration, Automation and Response) в контексте Security Operations Center (SOC) представляет собой интегрированную платформу, которая позволяет значительно повысить эффективность и скорость работы центра кибербезопасности. SOAR объединяет процессы оркестрации, автоматизации и реагирования, чтобы улучшить управление инцидентами и обеспечить более скоординированное и быстрое реагирование на угрозы.

Рассмотрим подробнее, как каждый компонент SOAR работает в контексте SOC.

1. Оркестрация (Orchestration)
Позволяет SOC интегрировать различные инструменты и системы безопасности, такие как:

• SIEM (Security Information and Event Management),
• EDR (Endpoint Detection and Response),
• IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems),
• антивирусные программы и фаерволы,
• инструменты управления уязвимостями.

Эта интеграция обеспечивает централизованное управление и координацию действий всех инструментов, что позволяет SOC лучше понимать общую картину безопасности и более эффективно управлять инцидентами.

2. Автоматизация (Automation)
Помогает SOC выполнять рутинные и повторяющиеся задачи без участия человека, что включает:

• сбор и корреляцию данных из различных источников,
• предварительный анализ инцидентов и классификацию угроз,
• генерацию отчетов и уведомлений.

Автоматизация этих процессов освобождает аналитиков от выполнения монотонных задач, позволяя им сосредоточиться на более сложных аспектах расследования и реагирования на инциденты.

3. Реагирование (Response)
Обеспечивает SOC возможность быстро и эффективно реагировать на инциденты, включая:

• автоматическое применение мер по смягчению угроз, таких как блокировка IP-адресов, изоляция зараженных устройств или изменение политик безопасности,
• уведомление соответствующих сотрудников и эскалация инцидентов в случае необходимости,
• управление всем циклом инцидента – от обнаружения до полного устранения и документирования.